Експерти Лабораторії Касперського: програми від каршерингових компаній дозволяють викрасти автомобіль
Експерти Лабораторії Касперського: програми від каршерингових компаній дозволяють викрасти автомобіль
Експерти "Лабораторії Касперського" проаналізували більше десятка мобільних додатків від каршерингових компаній (що здають в оренду автомобілі), і виявили серйозні вразливості, за допомогою яких зловмисники можуть викрасти персональну інформацію і навіть викрасти автомобіль.
Фахівці вивчили тринадцять Android-додатків, завантажених із Google Play понад 1 млн разів. За словами експертів, додатки від каршерингових компаній можуть зацікавити кіберзлочинців з низки причин. Наприклад, вони можуть зламати обліковий запис легітимного користувача і їздити машиною за його рахунок, викрасти машину або використовувати її в злочинних цілях. Крім того, зловмисники можуть стежити за пересуваннями користувача та отримати доступ до його персональних даних.
Вищеописані сценарії можливі поки що лише в теорії, проте, як зазначили в ЛК, кіберзлочинці вже продають зламані облікові записи клієнтів каршерингових компаній. Продавці рекламують свій товар, запевняючи, що за його допомогою покупець отримає цілу низку можливостей, у тому числі можливість керувати авто без водійських прав.
У ході дослідження експерти ЛК передусім перевірили, чи можливо здійснити реверс-інжиніринг додатків та чи можна їх виконати з правами суперкористувача. Можливість здійснити реверс-інжиніринг дозволяє зловмисникам створювати шкідливі версії програм. Маючи права суперкористувача пристрою, хакери можуть викрасти конфіденційну інформацію.
Як виявилося, з усіх досліджуваних додатків захист від реверс-інжинірингу був реалізований лише в одному, проте захист від виконання з правами суперкористувача в ньому все одно була відсутня. Проте, додаток шифрував дані, що ускладнювало завдання кіберзлочинцям навіть із правами суперкористувача.
Далі дослідники взялися за паролі, які використовуються у додатках від каршерингових компаній. У більшості випадків компанії надавали своїм клієнтам слабкі паролі або короткі одноразові верифікаційні коди. Ненадійні паролі разом з необмеженою кількістю спроб їх введення дозволяють зловмисникам здійснити брутфорс-атаку та підібрати пароль або код.
